Хакеры нашли способ сертифицировать свое вредоносное ПО в Microsoft

Авторы руткитов, возможно, нашли способ обойти цифровую подпись Microsoft, считают исследователи безопасности.

Хакеры нашли способ сертифицировать свое вредоносное ПО в Microsoft. Фото: Pexels

Исследователи кибербезопасности обнаружили руткит, который злоупотреблял процессом подписания Microsoft Windows Hardware Quality Labs (WHQL).

Исследователи из компании-поставщика средств безопасности Bitdefender обнаружили руткит FiveSys, который является вторым руткитом, с которым они столкнулись, которому удалось пройти через процесс сертификации драйверов Microsoft.

Из сообщения исследователей компании Bitdefender:

«Большинство случаев использования руткитов, которые мы задокументировали в прошлом, основаны на кражах хакерами цифровых сертификатов у законных компаний для подписи своих драйверов»

Согласно их анализу, FiveSys, похоже, был разработан для онлайн-игр с целью кражи их учетных данных и внутриигровых покупок.

Bitdefender считает, что действия FiveSys и руткита Netfilter, чьи создатели первыми злоупотребили процессом цифровой подписи Microsoft, не являются изолированными инцидентами и, возможно, указывают на новую тенденцию вредоносного ПО, использующего подписи WHQL.

Основанием для их аргументов являются требования Microsoft к подписи новых драйверов. В них указано, что драйверы должны быть подписаны цифровой подписью компании, чтобы они были приняты Windows .

Из сообщения исследователей компании Bitdefender:

«Это новое требование гарантирует, что все драйверы проверены и подписаны поставщиком операционной системы, а не исходным разработчиком, и поэтому цифровые подписи скрывают личность настоящего разработчика»

Хотя мотивы хакеров кажутся ясными, как именно им удалось обойти процесс сертификации для получения законных сертификатов, по-прежнему остается загадкой.

Вскоре после обнаружения вредоносного ПО Bitdefender обратился к Microsoft, чтобы сообщить об инциденте. Компания отозвала свою подпись.

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме